To powinno być bardzo podstawowe pytanie i starałem się je zbadać i nie mogłem znaleźć solidnej odpowiedzi.
Załóżmy, że masz serwer WWW w DMZ i serwer MSSQL w sieci LAN. IMO i to, co zawsze uważałem za poprawne, polega na tym, że serwer sieciowy w strefie DMZ powinien mieć dostęp do serwera MSSQL w sieci LAN (być może trzeba by otworzyć port w zaporze ogniowej, to byłoby ok IMO).
Nasi koledzy z sieci mówią nam teraz, że nie możemy mieć dostępu do serwera MSSQL w sieci LAN z DMZ. Mówią, że wszystko w strefie DMZ powinno być dostępne tylko z sieci LAN (i sieci) oraz że strefa DMZ nie powinna mieć dostępu do sieci LAN, podobnie jak sieć nie ma dostępu do sieci LAN.
Więc moje pytanie brzmi: kto ma rację? Czy DMZ powinien mieć dostęp do / z sieci LAN? Lub, czy dostęp do sieci LAN z DMZ powinien być surowo zabroniony. Wszystko to zakłada typową konfigurację DMZ.
Teoretycznie jestem z chłopakami z sieci. Każde inne ustawienie oznacza, że gdy ktoś naruszy serwer WWW, ma drzwi do Twojej sieci LAN.
Oczywiście rzeczywistość musi odgrywać pewną rolę - jeśli potrzebujesz danych na żywo dostępnych zarówno z DMZ, jak i LAN, naprawdę masz niewiele opcji. Prawdopodobnie sugerowałbym, że dobrym kompromisem byłaby „brudna” wewnętrzna podsieć, którą mogłyby żyć serwery takie jak serwer MSSQL. Ta podsieć byłaby dostępna zarówno z DMZ, jak i LAN, ale byłaby zaporą ogniową uniemożliwiającą inicjowanie połączeń z LAN i DMZ.
źródło
Jeśli wszystko, co przepuszczasz przez zaporę, to połączenia SQL z serwera DMZ do serwera MS-SQL, nie powinno to stanowić problemu.
źródło
Publikuję swoją odpowiedź, ponieważ chcę zobaczyć, jak głosowała ...
Serwer WWW w strefie DMZ powinien mieć dostęp do serwera MSSQL w sieci LAN. Jeśli nie, to jak proponujesz uzyskać dostęp do serwera MSSQL w sieci LAN? Nie mogłeś!
źródło